Принцип работы “лечим-калечим” в сфере программного обеспечения является нерушимым постулатом. Как оказалось, первое в этом году обновление видеодрайвера AMD Radeon Adrenalin 2020 Edition с индексом 20.1.1 принесло не только 27 исправлений, но и квартет критических уязвимостей безопасности. Они получили маркировки CVE-2019-5124, CVE-2019-5146, CVE-2019-5147 и CVE-2019-5183.
Этот класс атак использует уязвимость в файле драйвера AMD Radeon ATIDXX64.dll, что может привести к отказу в обслуживании или даже удалённому выполнению стороннего кода. Более того, уязвимость можно использовать через хост-сервер виртуальной машины (протестировано с VMWare) и даже через браузер посредством интерфейса WebGL.
Уязвимость была протестирована с видеокартой Radeon RX 550 в среде VMware Workstation 15 (15.5.0 build-14665864) на Windows 10 x64. Однако, проблема затрагивает не только Radeon RX 550. Компилятор использует общую основу кода для всех графических процессоров, которые поддерживают DirectX 12.
Все четыре уязвимости «пофиксили» в видеодрайвере Radeon Adrenalin 2020 Edition 20.1.3. Рекомендуется обновиться в строго обязательном порядке.
Источники:
Techpowerup
TalosIntellegence